[Robot_NagNews]

Материал:

Читая пресс-релизы иногда удивляешься - там указываются настолько очаровательные цифры и скорость работы, что в это верится с трудом. Несколько дней назад ЦОД "Оверсан", располагающийся в Москве, устами своей пресс-службы распространил краткий и забавный релиз по теме защиты от DDoS. Не утомляя вашего внимания, приведу только один абзац.

 

Полный текст

[Гость Ermak]

>- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка;

Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее.

>В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро.

При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки.

[kostich]

>- если оборудование Cisco, то это Cisco Guard, максимальная возможность которого не больше 9 Гбит/с. Как оно >смогло "погасить" мощность в два раза больше? Загадка;

Загадка - это когда через 2960 - 10gb/s продувают. А установив несколько Appliance Cisco Guard и сделав элементарную балансировку по equal path, можно и 100Gb/s через них пропустить. Ну а перцы из Оверсана, с их баблом, могли на раз собрать схему посерьезнее.

>В любом случае, полчаса на ликвидацию такой мощной атаки, это невероятно быстро.

При автоматическом заворачивании трафика, 30 минут на ликвидацию, это невероятно медленно. Видимо проблема была в большом количестве атакуемых IP, которые не были завернуты на систему до атаки.

для фильтрации 20 гигабит UDP нужна всего одна ACL :)

 

[kostich]

. "Атака шла именно с сотен тысяч зомбированных машин. Именно поэтому ее непросто было отразить".

интересное оборудование. предположу, что если бы было 2mpps tcp syn спуфинга, то счет ботнета бы шел на миллионы.

 

. Совершенно точно понятно, что ботнет - достаточно активное образование, по оценкам "Лаборатории Касперского" во время активной атаки ботнет теряет до 25% своих машин за сутки.

На канальных атаках они больше теряют... там бот детектит подключение к порту как 100 мегабит, т.е. LAN, что само собой выражается в изливании на полную катушку... DSL рутер от таких финтов слегка уходит и абонент звонит к ISP на тему работоспособности интернета.

 

ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

 

Изменено 30 августа, 2010 пользователем kostich

[Алексей Андриянов]

ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.

[kostich]

Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.

т.е. такая атака по вашему невозможна?

 

[st_re]

насчет "ни один", эт Вы, Алексей, здря.. Очень часто не фильтруют левый соурс ип. тоесть совсем.

[ingress]

ps. для того что бы уложить любой ЦОД в РФ нужно использовать три-четыре сервера и атаку на базе EDNS, когда генерируемый трафик увеличивается в сотню раз. т.е. правильно генерируя 1-2 гигабита пакетов, в жертву может прилететь и все 50-80... как бы парадоксально не звучало, но это уже зафиксированный факт. такие атаки очень редки. есть еще ряд протоколов и сервисов, которые на спуфинге позволяют увеличивать генерируемый трафик в десятки раз, но с EDNS можно убить все что угодно.

Сложность таких атак в том, что IP source spoofing хомячкам недоступен, ни один провайдер такого не допустит.

тем не менее от спуфленных адресов пакеты прилетают.

вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.

так что там провайдеры не допускают - спорный вопрос.

[kostich]

тем не менее от спуфленных адресов пакеты прилетают.

вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.

так что там провайдеры не допускают - спорный вопрос.

да, именно с коло и дедиков это и рождается. в некоторых ДЦ такой бардак творится, что даже описывать не хочется. по хорошему все клиенты должны сидеть в отдельном vlan или быть жестко изолированны друг от друга. в реальности же есть SEOшники, которые всеми правдами и не правдами просят большую кучу IP из разных сетей с разными whois. это всё на какой-то сумашедший конвеер поставлено. плюс еще транзитом там торгуют + структура сети не позволяет вынести сервера в отдельную зону малой кровью. там внутри ДЦ спуфинг то найти не так просто.

 

[Гость z0m]

Надо начинать с меньшего - гасить нафиг всех СЕОшников

[romane]

Задвинули трансов с 15 Гбпс или померещилось?

[Алексей Андриянов]

тем не менее от спуфленных адресов пакеты прилетают.

вот мне тут человек из оверсана(с нетранзитной, конечной ас) доказывал что acl и urpf никто из баальших и наармальных операторов(а они могут быть в отношениях "аплинк-клиент", а дос может рождаться не с дырявых физиков, а с дырявых коло, вдс, дедиков) друг на друга не вешают, крутил пальцем у виска.

так что там провайдеры не допускают - спорный вопрос.

Я прекрасно понимаю, что крупняк друг на друга ACL не вешает, да и вообще, если у клиента собственное адресное пространство, ACL на его порту скорее всего не будет. Но хомяки с завирусованными компами в своей массе уже не смогут участвовать в такой атаке. В этом и сложность, но, конечно, все возможно.

[kostich]

Я прекрасно понимаю, что крупняк друг на друга ACL не вешает, да и вообще, если у клиента собственное адресное пространство, ACL на его порту скорее всего не будет. Но хомяки с завирусованными компами в своей массе уже не смогут участвовать в такой атаке. В этом и сложность, но, конечно, все возможно.

Как бы смешно не звучало, но спуфленый синфлуд и от хомяков иногда прилетает... очень редко, но бывает.

[romane]

Вопрос в теме не сильно интересен.

А что бы было если не отбил?

Вот вариант.

[Гость FtoR]

Не верьте ни единому слову. Адский пиар ни на чем. Не было таких атак никогда в Оверсане, больше 6Gbps Cisco Guard там не пропускают. Систему под нагрузкой, при мне, дай Бог, загрузили тестовым трафиком Gbps на 200-300, не больше.

Коммерческий булшит, желтуха и откровенное "вранье".